内部監査の目的を確認しよう

ISO /IEC27001の要求事項 では、以下のように定義されています。企業/組織が、「ISMS に関して組織自体が規定した要求事項」および「ISO/IEC27001の要求事項」に適合し、かつISMSが有効に機能しているかを評価し、その監査結果をトップマネジメントに報告します。企業/組織はその結果報告を受けて、指摘事項および改善事項について効果を確認しますが、重要なことは、ISMSを運用維持するための「継続的改善活動」を実施することにあります。

ISMSの内部監査でチェックすべきポイント

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

内部監査を有効に実施するには? 

内部監査有効性 を実現するために、「監査チェックリスト」を利用します。
インタビューの流れや担当内部 監査員 のスキル等も考慮し、監査チェックリストをどの程度詳細化するのか決定します。その後、実際に監査チェックリストを作成して監査業務の効率化を図り、 標準化 します。内部監査の準備では、監査チェックリストの内容を見直し、監査の形骸化を防止します。ただし、監査チェックリストの作成は必須ではないため、使用せずに有効な内部監査が実施できる場合、別の方法でも問題ありません。

監査チェックリストの作成ポイント:

  • ①チェックリストでは、監査テーマごとに詳細チェック項目を作成し、チェック項目に優先度をつけ(重点項目の設定)、その際、監査確認事項(チェック項目)の有効性を判定できる質問事項となるよう考慮します。
  • ②作成した監査チェックリストは、実際にそのチェックリストを利用する担当内部監査員や業務精通者に事前レビューしていただくと、質の高い監査チェックリストを作成することができ、監査の質も向上します。
  • ③監査チェックリストは監査実施記録として保管しますが、チェックリストに記載がない事柄について確認した場合も、その記録をリストに追加し、改善・次回監査に役立てます。

監査の注意ポイント

監査インタビューでは、監査人は質問の主眼を置いて、意図した回答が得られるよう質問をします。例えば、内部監査を受ける各業務部門(部署)監査担当者の考え方や理解度を確認したい場合は「はい・いいえ」といった回答ではなく「説明」をしていただく。問題点等の確認は必要に応じて現場でデモストレーションを実施していただき、問題点の発生状況や環境、改善点等について確認することも必要です。

また、内部監査はインタビューのみでなく、必ず客観的証拠を確認しましょう。質問内容によっては、インタビューのみとなることもありますが、原則として作成された記録などを確認します。三現主義などと言われることもありますが、現実・現物・現場を確認することは非常に重要なこととなります。

監査報告書作成時の留意点

内部監査を実施した後、監査実施結果報告書を作成しますが、不適合があった場合、不適合(改善点)報告書も作成する必要があります。以下に、報告書作成時の留意点について示します。

 
≪留意点≫
       
  • 監査実施結果報告書: 監査範囲全体や部門ごとに ISMSの取り組みについて総合的に評価します。
  •    

  • 不適合報告書: 指摘事項・改善点ごとに不適合内容について客観的に、詳細に記載します。まずは改善の判断基準(不適合の根拠/重大・軽微等)について記載し、次に判断基準となった規格の要求と、不適合と判定された状態について記載します。

■【参考資料】ISO/IEC27001:2013(JIS Q 27001:2014)「内部監査」の要求事項

9.2 内部監査
組織のISMSが次の事項に適合しているか定期的に内部監査を実施する。
【条件】
a) 適合事項
     1)ISMSに関して、組織自体が規定した要求事項
     2)ISO/IEC27001の要求事項
b)有効に実施され,維持していること。
c)組織は、頻度,方法,責任および計画に関する要求事項及び報告を含む,内部監査プログラムの計画,確立、実施及び維持。監査プログラムは、関連するプロセスの重要性および前回までの監査の結果を考慮に入れなければならない。
d)各監査について,監査基準 及び監査範囲 を明確にする。
    e)監査プロセスの客観性及び公平性を確保する監査員を選定し、監査を実施する。
    f)監査の結果を関連する管理層に報告する。
g)監査プログラム及び監査結果の証拠として、文書化 した情報を保持する。
    
9.3マネジメントレビュー
   トップマネジメントは,組織のISMSが、引き続き,適切,妥当かつ有効であることを確実にするために,定期的にISMSをレビューしなければならない。

以下の事項を考慮する。
a)前回までのマネジメントレビューの結果とった処置の状況
b)ISMSに関連する外部及び内部の課題の変化
c)次に示す傾向を含めた,情報セキュリティパフォーマンスに関するフィードバック
   1)不適合及び 是正処置
   2)監視及び測定の結果
   3)監査結果
   4) 情報セキュリティ目的 の達成
d) 利害関係者 からのフィードバック
e) リスクアセスメント の結果および リスク対応 計画の状況
f)継続的改善の機会

4) マネジメントレビューからのアウトプット
マネジメントレビューからのアウトプットには、継続的改善の機会、及びISMSのあらゆる変更の必要性に関する決定を含めなければならない。
【出典】JIS Q27001:2014(9.2 内部監査~9.3 マネジメントレビュー)

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ